在現(xiàn)在互聯(lián)網(wǎng)的時(shí)代,面對各種針對互聯(lián)網(wǎng)的安全問題,沒有一勞永逸的辦法。例如支付寶雖然設(shè)置了多道門檻,但是隨著不法分子盜取用戶信息的手段越來越高明,依然存有隱患。據(jù)調(diào)查,互聯(lián)網(wǎng)支付和移動支付等第三平臺的安全防護(hù)手段還不足以防范不法分子的攻擊,而這無疑是給用戶留下了巨大的安全隱患。近日,手機(jī)支付存隱患安全漏洞被曝光。
《新浪科技》報(bào)導(dǎo),近一段時(shí)間手機(jī)用戶爆料,其銀行卡存款突然不翼而飛。
一名福建用戶稱,銀行卡被人從網(wǎng)上利用支付寶、網(wǎng)易寶等第三方支付方式盜刷了6筆2000元錢。另一江蘇省揚(yáng)州市記者披露的一起銀行卡盜刷案,當(dāng)事人銀行卡被盜刷6萬多元。
據(jù)警方介紹,在銀行卡被盜刷之前,當(dāng)事人的銀行卡以及保障網(wǎng)銀安全的U盾、密碼等都沒有丟失過,更為奇怪的問題是,在整個(gè)盜刷過程中,當(dāng)事人和銀行卡綁定的手機(jī)也沒有顯示出賬戶變化的提醒簡訊,直到當(dāng)事人自己刷卡消費(fèi)的時(shí)候,才發(fā)現(xiàn)銀行卡被盜刷了。
按照支付寶等第三方支付平臺現(xiàn)有的安全防范措施,只有同時(shí)掌握賬號、登錄密碼、支付密碼以及簡訊驗(yàn)證碼這四道安全防護(hù)密匙,才有可能從網(wǎng)上通過第三方支付平臺刷卡轉(zhuǎn)賬。
報(bào)導(dǎo)指出,由于用戶個(gè)人不慎泄露了隱私信息,導(dǎo)致銀行卡資金被盜。現(xiàn)在已經(jīng)拿到用戶的這款小米2手機(jī),存在比較多的安全漏洞。
清華大學(xué)副研究員、國家重大專項(xiàng)課題之《Linux/Android操作系統(tǒng)安全漏洞檢測》研究小組負(fù)責(zé)人諸葛建偉表示,攻擊者會設(shè)置一個(gè)公共的釣魚wifi,通過去配置這樣的一款無線路由器,去把它作為用戶手機(jī)上網(wǎng)的,中間人攻擊的一個(gè)節(jié)點(diǎn)。那如果用戶為了省流量,用他的手機(jī)連入到這樣的一個(gè)公共Wifi里,用戶的上網(wǎng)流量就會被劫持到攻擊者指定的一個(gè)筆記本電腦或者是PC上。
專家介紹說,一旦手機(jī)用戶的上網(wǎng)數(shù)據(jù)流被攻擊者劫持,用戶點(diǎn)開的任何一個(gè)網(wǎng)頁,實(shí)際上都可能被攻擊者暗地里插入了惡意攻擊程序,它會利用手機(jī)瀏覽器的安全漏洞,接著在用戶手機(jī)中自動植入新的木馬程序。而這種木馬程序又會進(jìn)一步利用手機(jī)操作系統(tǒng)內(nèi)核中存在的ROOT提權(quán)漏洞,這種漏洞會被用來獲取原本屬于系統(tǒng)自身才能擁有的最高許可權(quán),這就意味著攻擊者由此獲得了手機(jī)的完全控制權(quán)。
當(dāng)用戶在手機(jī)上輸入支付寶賬號和密碼的時(shí)候,這些極其重要的賬戶認(rèn)證信息幾乎同時(shí)暴露在攻擊者的電腦屏幕上。
按照支付寶的流程設(shè)計(jì),單筆付款金額達(dá)到200元,必須經(jīng)過簡訊驗(yàn)證碼確認(rèn)后,才能完成支付操作。然而,專家分析發(fā)現(xiàn),攻擊者獲得手機(jī)完全控制權(quán)后,簡訊驗(yàn)證碼的安全防范作用也就相當(dāng)于形同虛設(shè)。
同時(shí)他還可以利用手機(jī)上的木馬程序,對支付寶發(fā)給用戶手機(jī)的一個(gè)驗(yàn)證碼來進(jìn)行攔截。這種新的攻擊方式是可以讓攻擊者非常從容在用戶完全沒有察覺的這種情況下,偷偷地把你的錢轉(zhuǎn)走。
除小米2 機(jī)型外,像三星的Galaxy S4、谷歌(551.76, 0.41, 0.07%)的Nexus4以及華為、聯(lián)想的(品牌的)一些機(jī)型,也都同樣存在著這樣的ROOT提權(quán)安全漏洞,也就是能夠讓攻擊者獲取手機(jī)最高許可權(quán)的一個(gè)漏洞。
這種攻擊模式是組合使用瀏覽器的漏洞和本地root提權(quán)漏洞,進(jìn)行進(jìn)一步的攻擊,完全屏蔽掉360手機(jī)衛(wèi)士的運(yùn)行,從而讓它失效,我們還進(jìn)一步分析發(fā)現(xiàn),這種攻擊模式,對像騰訊(117.2, 1.10, 0.95%, 實(shí)時(shí)行情)手機(jī)管家這樣的一些市場上主流的手機(jī)安全軟體同樣有效,同樣可以讓它們失去保護(hù)手機(jī)的效果。
在進(jìn)行一個(gè)惡意轉(zhuǎn)賬之后,可以徹底地把木馬程序和所有的一些日志都進(jìn)行一個(gè)擦除。這樣的話,即使你進(jìn)行了一個(gè)報(bào)案,你把這個(gè)手機(jī)交給了警方,警方(目前)也沒有任何的辦法通過舉證分析去找到攻擊者的一個(gè)線索。
據(jù)報(bào)導(dǎo),支付寶應(yīng)用由于缺乏一些對抗逆向分析的機(jī)制,以及并沒有對修改后的支付寶應(yīng)用進(jìn)行一個(gè)驗(yàn)證,就使得被修改后后的支付寶應(yīng)用還可以像原來一樣去連接伺服器,來完成登錄和轉(zhuǎn)賬的操作。
專家研究分析和測試后發(fā)現(xiàn),攻擊者之所以能獲取手機(jī)用戶的支付寶賬號和密碼等重要的認(rèn)證信息,恰恰就是因?yàn)樗軌驅(qū)χЦ秾殤?yīng)用程序進(jìn)行插樁,植入惡意程序片段,對用戶輸入進(jìn)行監(jiān)控。
加微信獲取報(bào)價(jià)